服务器 Gind.cn

Articles of openldap

从多个OU对OpenLDAP中的用户进行身份validation

我是新来打开LDAP,并试图找出布局我的DIT的最佳方式。 我遇到的问题是我的许多应用程序想要使用特定的baseDN来查找用户身份validation,但是我的许多用户分布在不同的组织单位(ou = managers,dc = ex,dc = com ou =会计,dc = ex,dc = com等)。 一个例子是一个内部的web应用程序。 login页面希望根据用户标识和给定的OU构build一个绑定DN。 我没有看到一种方法来指定多个OU,所以我可以让每个人都login的唯一方法是将基本DN指定为我的DIT(dc = ex,dc = com)的根目录。 身份validation需要花费5到10秒才能查看整个DIT。 有没有办法创build一个符号链接或在一个OU指向另一个OU中的实际用户帐户的东西? 这样,我可以创build一个名为“ou = webapp1,dc = ex,dc = com”的OU,只需引用ou = managers和ou = accounting OU中的用户,而不需要实际复制用户信息。

对OpenLDAP更改进行审计日志logging

我怎样才能生成和检查对OpenLDAP数据库所做的更改的审计跟踪,比如哪个用户是由谁创build的,由谁编辑,编辑什么等等。

在centos 6上设置一个openldap代理到另一台LDAP服务器

我试图让本地服务器authentication到自己的openldap服务器,然后代理企业LDAP,如果用户不在本地。 本地用户工作 validation到本地LDAP服务器的作品 Auth到公司LDAP不起作用 当使用本地服务器时,LDAPsearch到公司工作(ack!?!) 用户=公司LDAP帐户内部ldap =用户 – internal.com公司ldap =人员 – datacenter.corporate.com 注意:企业上启用了匿名绑定。 oot@ sssd]# ldapsearch -h 127.0.0.1 -x -b "uid=user,ou=people,dc=datacenter,dc=corporate,dc=com" # extended LDIF # # LDAPv3 # base <uid=user,ou=people,dc=datacenter,dc=corporate,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # user, People, datacenter.corporate.com dn: uid=user,ou=People,dc=datacenter,dc=corporate,dc=com uid: user cn: objectClass: account objectClass: posixAccount objectClass: top […]

LDAP + KERBEROS服务器configuration

我正在按照本指南设置Kerberos服务器。 Kerberos服务器的系统configuration如下,有人可以帮我解决问题,任何帮助将不胜感激。 这是我看到的问题: root@openldap ~# kadmin -p admin Authenticating as principal admin with password. kadmin: Cannot resolve network address for admin server in requested realm while initializing kadmin interface …和相关的系统信息/configuration: root@openldap ~# uname -a Linux openldap 3.2.0-4-amd64 #1 SMP Debian 3.2.68-1+deb7u3 x86_64 GNU/Linux root@openldap ~# cat /etc/hosts 127.0.0.1 localhost 10.5.126.24:464 krb.ixsystems.com #Required for IPv6 capable […]

我怎样才能在slapd上使用objectCategory属性?

我是一个血腥的LDAP新手。 我成功地设置了slapd(这是OpenLDAP的一部分),并将LAM作为前端,并成功configuration了多个服务以连接到它以进行用户/组的configuration和身份validation。 我打算连接到这个服务器(LastPass企业)的一个服务似乎寻找用户的objectCategory属性,据我所知,这是失踪。 我可以看到每个用户的几个objectClass属性,但就是这样。 search是相当无益的。 它只是让我相信,objectCategory是只有Microsoft Active Directory提供的东西。 还是我错了? 有没有一种方法来满足这个服务对slapd的objectCategory属性的需求? 非常感谢!

允许OpenLDAP用户更改自己的密码

我似乎失去了一些东西,我已经通过LDAP作为用户分成功login,但是我不能改变用户“分”(我)的密码: [cent@elasticmaster2 ~]$ ldappasswd -H ldap://elasticmaster1.kartikv.com -x -D "cn=cent,ou=Group,dc=kartikv,dc=com" -W -A -S Old password: Re-enter old password: New password: Re-enter new password: Enter LDAP Password: ldap_bind: Invalid credentials (49) 请指教

ldap组的名称必须是唯一的吗?

因为我们正在build立一个有多个位置的openldap。 这些组的名字必须是唯一的吗? 例如vpn,adm,sudo组将在NL中,而且在BE中。 什么是最佳做法? 相同的组名可以给连接应用程序带来任何问题吗? ou = NL,dc = company,dc = com -ou = USERS -ou = GROUPS cn = sudo cn = adm cn = vpn -ou = ROLES ou = BE,dc = company,dc = com -ou = USERS -ou = GROUPS cn = sudo cn = adm cn = vpn -ou = ROLES […]

无法使用TLS获得OpenLDAP

我有一台CentOS 7主机上运行的OpenLDAP 2.4.39服务器,这个主机上只有一小部分数据。 如果不使用TLS,它会按预期工作。 我今天用dokuwiki进行身份validation。 我已经从Namecheap / Comodo购买了一个SSL,并试图让它工作。 例: root@smtp:~# ldapsearch -h ldap.foo.bar -D cn=Manager,dc=foo,dc=bar -W -LLL -b ou=people,dc=foo,dc=bar "(uid=baz)" Enter LDAP Password: dn: uid=baz,ou=people,dc=foo,dc=bar objectClass: top objectClass: inetOrgPerson objectClass: organizationalPerson cn:: SGFucyDDhWdlIE1hcnRpbnNlbg== displayName:: SGFucyDDhWdlIE1hcnRpbnNlbg== givenName:: SGFucyDDhWdl mail: [email protected] mobile: 12345678 sn: Doe uid: baz 如果我试图强制TLS,事情会改变。 root@smtp:~# ldapsearch -h ldap.foo.bar -D cn=Manager,dc=foo,dc=bar -W -LLL -b […]

ldap_sasl_interactive_bind_s:无法联系LDAP服务器(-1)为CentOS上的ldapi:///

(这是ldap_modify的后续操作:在更改密码时访问不足(50),因为我们在诊断过程中发现了一个单独的问题。) 在修改cn = config LDAP数据库之前,我试图访问它。 但是,我得到一个ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)错误。 # ldapsearch -H ldapi:/// -Y EXTERNAL -b 'cn=config' -d1 ldap_url_parse_ext(ldapi:///) ldap_create ldap_url_parse_ext(ldapi:///??base) ldap_sasl_interactive_bind: user selected: EXTERNAL ldap_int_sasl_bind: EXTERNAL ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_path ldap_new_socket: 3 ldap_connect_to_path: Trying /var/run/ldapi ldap_connect_timeout: fd: 3 tm: -1 async: 0 ldap_ndelay_on: 3 ldap_close_socket: 3 ldap_msgfree ldap_err2string ldap_sasl_interactive_bind_s: Can't […]

OpenLDAP ACL存储为散列?

有谁知道为什么当我添加这3个ACL的第三个在olcDatabase \ = {2} hdb.ldif中表示为一个随机string? 访问控制列表: olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=eastlands,dc=net" write olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by dn="cn=Manager,dc=server,dc=net" write by * read slapcat输出: olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=server,dc=net" write olcAccess: {1}to dn.base="" by * read olcAccess:: ezJ9dG8gKiBieSBkbj0iY249TWFuYWdlcixkYz1lYXN0bGFuZHMsZGM9bmV0IiB3cml0ZSBieSAqIHJlYWQg 这是一种随机的,但它真的让我烦恼。 我在CentOS 7上运行openldap-2.4.39-7.el7。
Intereting Posts
如何防止盗链只有子目录? 后缀发件人访问限制 – 安全漏洞? Ansible:将configuration复制到当前和其他主机 将Linux服务器备份到Windows服务器? 如何检查ec2 linux实例的login历史或时间戳 SATA / SAS电缆的最大有用长度是多less? 在Win7中运行虚拟WinXP,有没有类似于Windows 2008服务器 将Vmware Workstation VM移动到其他主机会导致重新激活 OpenBSD 4.8上的OpenVPN:如何在桥接模式下为道路勇士build立一个VPN ldap.conf中的多个绑定和基本DN 热插拔与非热插拔磁盘 任何人都可以帮我摆脱这个活动目录的混乱? SQL服务器和PHP重新启动 glassfish v3 – 通过Linux上的命令行更新所有pakages Nginx的configuration文件是千字节还是千字节